Ein Audit findet Dutzende ungenutzter, überprivilegierter Dienstkonten. Was tun Sie?
Kurzantwort
Ungenutzte, überprivilegierte Dienstkonten sind bevorzugte Ziele und eine große Angriffsfläche. Inventarisieren Sie sie, deaktivieren oder löschen Sie die ungenutzten (mit Blick auf Ausfälle), beschränken Sie die verbleibenden auf Least Privilege und geben Sie jedem einen Eigentümer sowie eine wiederkehrende Überprüfung. Sie zu belassen ist ein dauerhaftes Risiko, pauschale Admin-Rechte maximieren den Schadensradius, und alles auf ein gemeinsames Konto zu konsolidieren zerstört Least Privilege und Nachvollziehbarkeit.
Dutzende ungenutzter, überprivilegierter Dienstkonten sind eine stille, aber ernste Belastung. Jedes ist ein Anmeldedatensatz, der gestohlen oder missbraucht werden kann, oft mit weitreichenden Rechten und ohne menschliche Aufsicht — genau das, wonach Angreifer suchen, um sich seitwärts zu bewegen und Rechte zu eskalieren. Die richtige Antwort ist eine disziplinierte Bereinigung des Identitäts-Lebenszyklus.
Der richtige Ansatz
- Inventarisieren Sie jedes Dienstkonto: was es ist, was es darf, wann es zuletzt genutzt wurde und welches System davon abhängt. Man kann nicht sichern, was man nicht erfasst hat.
- Deaktivieren oder entfernen Sie die ungenutzten. Bevorzugen Sie erst deaktivieren (umkehrbar) gegenüber sofortigem Löschen, um still brechende Dinge zu erkennen, und löschen Sie dann, wenn Sie sicher sind.
- Beschränken Sie die verbleibenden auf Least Privilege — kürzen Sie dauerhafte Berechtigungen auf genau das, was jede Arbeitslast braucht, und rotieren Sie ihre Anmeldedaten.
- Weisen Sie jedem verbleibenden Konto einen Eigentümer zu und richten Sie eine wiederkehrende Zugriffsüberprüfung ein, damit Berechtigungen neu begründet werden und die Wucherung nicht still zurückkehrt.
Warum die anderen Antworten gefährlich sind
- „Belassen — sie könnten eines Tages gebraucht werden" ist ein dauerhaftes Risiko ohne Nutzen. Inaktive, mächtige Identitäten sind reine Angriffsfläche; „eines Tages" kommt selten, und das Konto bleibt unterdessen ausnutzbar.
- „Allen Admin-Rechte für Konsistenz geben" maximiert den Schadensradius: Nun wird jedes dieser kompromittierbaren Konten zu einem Weg zur vollständigen Kontrolle. Konsistenz ist keine Tugend, wenn der konsistente Zustand „überprivilegiert" lautet.
- „Auf ein gemeinsames Konto konsolidieren" zerstört auf einen Schlag Least Privilege und Nachvollziehbarkeit: Dieses eine Konto braucht die Vereinigung aller Berechtigungen, seine Anmeldedaten sind überall, und Sie verlieren die Fähigkeit, Aktionen zuzuordnen oder Zugriff gezielt zu entziehen.
Was der Interviewer ergründet
Er will sehen, dass Sie Identitäten als verwalteten Lebenszyklus behandeln — erfassen, sicher deaktivieren, Umfang verkleinern, Eigentümerschaft zuweisen, überprüfen — und dass Sie instinktiv sowohl dauerhafte Privilegien als auch den Schadensradius minimieren, statt auf Bequemlichkeit zu optimieren.
Wahrscheinliche Anschlussfragen
- Wie würden Sie ein vermutlich ungenutztes Konto sicher deaktivieren, ohne einen Ausfall zu verursachen?
- Welche Signale (letzte Nutzung, Zugriffsprotokolle) zeigen, dass ein Konto wirklich inaktiv ist?
- Wie verhindern Sie, dass die Wucherung von Dienstkonten nach dieser Bereinigung erneut auftritt?